Tankolas atveres!

HWSW Famulus hwsw at famulus.hu
Tue Aug 26 21:25:50 CEST 2003 

> (azt ugyanis nem tárgyaltuk ki, hogy hogyan lesz pinkód, én hiszek
> azoknak a doksiknak, amik nálam és néhány kollégáná vannak, vagyis
> hogy a kártyaszámból keletkezik+ofszet.)

Nos, en vettem a fardasagot es a linkeket atfutottam....

Ennek alapjan amit leszurtem:

A kartyaszambol es PIN-bol keletkezik egy szam
aminek negy jegyet veletlen szeruen kiemelik ez lesz az offset

A kartyaszam es az offset birtokaban a PIN ellenorizheto,
hogy ez off-line esetben is megtehetolegyen
ra is irjak a kartyara mindkettot (kartyaszam offset).

DE EZEKBOL A PIN NEM SZAMOLHATO !

Pontosan biztonsagi okokbol, csak a beadottal hasonlithato
mert a beadott erteket is felhasznalva a szamitashoz a kapott eredmenyt
offsetelve vissza kell kapni a beadott PIN-t.
(nagyjabol ez a lenyeg)

De ehhez mar eleve a jo PIN-t kell beadni :-)

Szoval szerintem a kartyan levo 2 adat pluszz az altalam beadott harmadik
hasznalataval ellenorzik jol tudom-e a harmadikat, de a kettobol nem
szamolhato a harmadik.

Ez tokeltesen meg is felel igy a kriptografia alapszabalyainak.

Jobban bant az a gondolat, hogy az oly sokaig titkolt forras pdf
egyertelmuen
leir egy dolgot, errol megis hallgattal....

Megpedig, hogy az ott kozolt algoritmus a banki oldalon belulrol hasznalhato
csak ill.
az elvetve meg letezo off-line ATM-ek belsejebe zart (egyebkent
onmegsemmisito)
PIN ellenorzo cel CPU-hoz valo hozzaferessel

Lassuk be minket lehetoseg keves embernek adatik meg, plane
ha figyelembe veszzuk mi az algoritmus lenyege....

A lenyegi cel az algoritmussal az volt, hogy
az egyebkent az adott idon belul egyszamlara vonatkozo max.
hibas PIN valasszal vegzodo PIN teszt keresszam limit alatti
PIN teszt lekerdezes szambol sikeruljon kitalalni a PIN-t.

Tudva azt, hogy a CPU csak jo/rossz valaszt ad vissza a keresre.

A mukodes elve erdekes kicsit  a mastermind elvere hasonlit

Speci PIN mintakkal max. 10 ellennorzo kerdes alapjan
ki derul mely 4 szam fordul elo a PIN-ben a 0-9 tartomanybol
Ezutan pedig ugyes binarisfa eloszlasu tovabbi tesztekkel ezek
sorrendje is eldontheto csupan a proba PIN tesztre
adott jo/rossz valaszok alapjan.

Ugyes, de belso jogosultsag vagy ATM rablas es jogosultsag ismerete nelkul
nem kivitelezheto mivel kell hozza a cel hw.

Szoval a PIN eleg biztonsagos, a kartya maga viszont kockazat
mert vasarolni konnyu vele, foleg a gyakori trenyan azonositas miatt,
Elecron eseten a kotelezo PIN miatt jobb a helyzet...

KJ

More information about the Elektro mailing list